Peneliti malware ESET menemukan trojan akses jarak jauh (RAT) baru di Google Play Store, tersembunyi di aplikasi perekaman layar Android dengan puluhan ribu pemasangan.
Saat pertama kali ditambahkan ke toko pada September 2021, aplikasi ‘iRecorder – Perekam Layar’ kemungkinan besar di-trojan melalui pembaruan jahat yang dirilis hampir setahun kemudian, pada Agustus 2022.
Nama aplikasi memudahkan untuk meminta izin untuk merekam audio dan mengakses file pada perangkat yang terinfeksi karena permintaan tersebut cocok dengan kemampuan yang diharapkan dari alat perekam layar.
Sebelum dihapus, aplikasi tersebut mengumpulkan lebih dari 50.000 instalasi di Google Play Store, membuat pengguna terkena infeksi malware.
“Menyusul pemberitahuan kami terkait perilaku jahat iRecorder, tim keamanan Google Play menghapusnya dari toko,” peneliti malware ESET Lukas Stefanko dikatakan.
“Namun, penting untuk dicatat bahwa aplikasi tersebut juga dapat ditemukan di pasar Android alternatif dan tidak resmi. Pengembang iRecorder juga menyediakan aplikasi lain di Google Play, tetapi tidak mengandung kode berbahaya.”
Malware yang dimaksud, bernama AhRat oleh ESET, didasarkan pada Android RAT open-source yang dikenal sebagai AhMyth.
Ini memiliki berbagai kemampuan, termasuk tetapi tidak terbatas pada melacak lokasi perangkat yang terinfeksi, mencuri log panggilan, kontak, dan pesan teks, mengirim pesan SMS, mengambil gambar, dan merekam audio latar belakang.
Setelah pemeriksaan lebih dekat, ESET menemukan bahwa aplikasi perekaman layar berbahaya itu sendiri hanya menggunakan sebagian dari kemampuan RAT karena hanya digunakan untuk membuat dan mengekstraksi rekaman suara sekitar dan untuk mencuri file dengan ekstensi tertentu, mengisyaratkan potensi kegiatan spionase.
Ini bukan kejadian pertama dari malware Android berbasis AhMyth yang menyusup ke Google Play Store. ESET juga rincian yang diterbitkan pada tahun 2019 pada aplikasi lain yang di-trojanisasi AhMyth yang mengelabui proses pemeriksaan aplikasi Google dua kali dengan menyamar sebagai aplikasi streaming radio.
“Sebelumnya, AhMyth sumber terbuka digunakan oleh Transparent Tribe, juga dikenal sebagai APT36, sebuah kelompok spionase dunia maya yang dikenal dengan ekstensif menggunakan teknik rekayasa sosial dan menargetkan organisasi pemerintah dan militer di Asia Selatan,” kata Stefanko.
“Namun demikian, kami tidak dapat menganggap sampel saat ini berasal dari kelompok tertentu, dan tidak ada indikasi bahwa mereka diproduksi oleh kelompok ancaman persisten (APT) tingkat lanjut yang diketahui.”
